[doc. web n. 9948285]

Provvedimento del 28 settembre 2023

Registro dei provvedimenti
n. 465 del 28 settembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110 comma 1, secondo periodo del Codice che, in relazione al trattamento di dati personali per ricerca medica, biomedica e epidemiologica, dispone in particolare che “il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510);

VISTA l’istanza di consultazione preventiva presentata dall’Università di Pisa, ai sensi degli artt. 110 del Codice e 36 del Regolamento per la realizzazione dello studio clinico “PRedictive In-silico Multiscale Analytics to support cancer personalized diaGnosis and prognosis, Empowered by imaging biomarkers (PRIMAGE) inserito nel progetto europeo Horizon 2020” (nota del 26 luglio 2022);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’istanza di consultazione preventiva e l’attività istruttoria svolta

L’Università di Pisa (di seguito Università) ha avanzato un’istanza, ai sensi dell’art. 110 Codice e dell’art. 36 del Regolamento per la raccolta retrospettiva dei dati necessari per la realizzazione dello studio clinico “PRedictive In-silico Multiscale Analytics to support cancer personalized diaGnosis and prognosis, Empowered by imaging biomarkers (PRIMAGE)” (di seguito lo Studio), trasmettendo il protocollo, la valutazione di impatto sul trattamento dei dati svolta ai sensi dell’art. 35 del Regolamento, il parere favorevole del Comitato etico territorialmente competente, Area Vasta Nord Ovest.

Lo Studio “Primage” è inserito nel programma europeo Horizon 2020 al quale l’Ateneo Pisano partecipa come partner. Esso prevede l’arruolamento di circa 50 pazienti pediatrici dell’Azienda Ospedaliera Universitaria Pisana con cui l’Ateneo ha stipulato un accordo cd “di parte terza”.

In particolare, l’accordo prevede che l’Università di Pisa è titolare del trattamento dei dati che svolge per la realizzazione dello Studio.

L’ente coordinatore dello Studio è la Fundación para la Investigación del Hospital Universitario LA FE de la comunidad de Valencia (HULAFE) e vi partecipano ulteriori 16 partner, stabiliti nell’Unione europea.

In particolare, il progetto PRIMAGE si pone l’obiettivo di realizzare una piattaforma open e cloud-based per supportare il processo decisionale nella gestione clinica dei due tumori maligni che colpiscono pazienti in età pediatrica.

Il neuroblastoma (NB), che ha un’incidenza di circa 130-140 nuovi casi l’anno in Italia; il glioma intrinseco diffuso del ponte (DIPG), che ha un’incidenza di circa 50 casi l'anno in Italia.

Dalla valutazione di impatto si apprende che il progetto consta di quattro fasi

La fase 1, prevede la raccolta dei dati clinici, biologici e di imaging (immagini radiologiche) da parte di tutti i partner PRIMAGE e il loro caricamento nel database PRIMAGE.

La fase 2, prevede lo sviluppo e dell'addestramento del modello clinico predittivo. I dati dei pazienti estratti dai partner di PRIMAGE e dai collaboratori esterni riferiti a pazienti con diagnosi e trattamento di NB e DIPG tra il 2002 e il 2016, vengono utilizzati per stimare, sviluppare e addestrare i modelli clinici predittivi. Dalle immagini, si otterranno diversi parametri computazionali (radiomici e dinamici) con i quali costruire modelli stimati di evoluzione clinica attraverso l'analisi statistica, multivariata e dei raggruppamenti, per creare, appunto, il modello predittivo. Successivamente, i modelli clinici predittivi sviluppati verranno testati con altri dati ottenuti nello stesso periodo da pazienti con NB o DIPG che soddisfano i criteri di inclusione ed esclusione.

Nella fase 3, i modelli predittivi sviluppati saranno integrati nella piattaforma PRIMAGE dando come risultato un sistema di supporto alle decisioni (DSS) che migliorerà la gestione delle malattie di NB e DIPG. In altri termini, la terza fase consiste quindi nella validazione di questi modelli, sia internamente che esternamente.

La validazione esterna confermerà in silico (ossia attraverso simulazione matematica al computer di fenomeni di natura chimico-biologica) l'universalità del modello, in modo che possa essere utilizzato come sistema di supporto decisionale.

Nella fase 4, il DSS e la piattaforma PRIMAGE verranno convalidati e resi operativi.

La valutazione di impatto indica poi che ricercatori esterni possono accedere ai dati minimizzati dei pazienti attraverso la piattaforma PRIMAGE per ulteriori scopi di ricerca in conformità con il PRIMAGE data management plan, con la politica di accesso aperto di Horizon 2020, previa approvazione del relativo Comitato per l'accesso ai dati.

Con specifico riferimento al trattamento dei dati oggetto dell’istanza è rappresentato che “La raccolta di immagini mediche in un sistema organizzato che integra informazioni cliniche e dati biomolecolari, rappresenta una risorsa inestimabile per lo studio e la comprensione dei meccanismi patogenetici alla base dello sviluppo e della progressione di una malattia. La costruzione di una biobanca di immagini mediche permette di avere materiale utile alla costruzione di un modello predittivo computazionale. Inoltre l’utilizzo di appositi strumenti di intelligenza artificiale in grado di estrarre dalle immagini mediche informazioni quantitative, permette di integrare la valutazione qualitativa delle immagini con nuovi biomarcatori a sostegno della diagnosi e della prognosi di una malattia”.

A tale riguardo, è evidenziato che “Le immagini e i dati clinici dei pazienti saranno estratti manualmente dal PACS dell’AOUP ad opera del responsabile scientifico locale del progetto [...]. Al termine del progetto saranno estratti i dati relativi ad un massimo di 50 pazienti, i quali saranno caricati manualmente sulla piattaforma QUIBIM Precision, di proprietà di Quantitative Imaging Biomarkers In Medicine S.L. (QUIBIM). La piattaforma QUIBIM Precision, con certificazione CE e GDPR compliant, tramite l’integrazione dei servizi EUPID - European Patient IDentity management, consente la pseudonimizzazione dei dati prima che questi vengano caricati e salvati nel cloud condiviso e quindi diventino accessibili ai membri del consorzio. I servizi EUPID nascono nell'ambito del progetto Europeo ENCCA (European Network for Cancer Research in Children and Adolescents) allo scopo di facilitare l’utilizzo secondario dei dati biomedici nella ricerca scientifica. Questi servizi sono stati sviluppati dall'Austrian Institute of Technology (AIT) e sono stati implementati secondo il Regolamento europeo sulla protezione dei dati”.

Dalla documentazione in atti emerge, infatti, che per la realizzazione dello Studio è stato istituito un Consorzio tra i soggetti coinvolti.

Tutti i partner di PRIMAGE (membri del consorzio e associati) devono aderire al Codice di

Condotta per la condivisione dei dati di PRIMAGE, che stabilisce il quadro e le regole per il trattamento dei dati dei pazienti nel contesto dello Studio.

L’obiettivo principale dello Studio è quello di “organizzare secondo uno specifico standard qualitativo una biobanca di immagini e informazioni cliniche e biomolecolari ad esse correlate su una piattaforma web-based e open cloud in cui tutti i centri clinici partecipanti allo studio possano inserire in forma pseudoanonimizzata i casi clinici con diagnosi di NB o DIPG selezionati in base a predefiniti criteri di inclusione ed esclusione. L’obiettivo secondario è quello di selezionare i biomarcatori d’immagine con maggior potere prognostico e predittivo per costruire un modello computazionale di malattia con metodi di intelligenza artificiale”.

Lo Studio è volto infatti a contribuire in maniera significativa “allo sviluppo della ricerca traslazionale e della medicina personalizzata. Infatti, anche se in questo studio l’analisi radiomica e la creazione di modelli con l’uso dell’intelligenza artificiale vengono effettuate nel setting dei tumori pediatrici sopra citati, il medesimo approccio metodologico è applicabile e validabile su un setting più ampio e variegato di patologie, per creare un sistema di raccolta, conservazione, integrazione e condivisione di immagini e dati clinici e fisiopatologici ad esse correlabili a supporto dell’iter decisionale diagnostico (obiettivo esplorativo)”.

L’Università ha ritenuto di dover avanzare l’istanza di consultazione preventiva ai sensi dell’art. 110 del Codice in ragione della impossibilità di acquisire il consenso dei genitori dei bambini da arruolare nello Studio. A tale riguardo, l’Ateneo ha ritenuto infatti che “contattare i genitori dei bambini deceduti per chiedere il consenso alla ricerca, significhi rinnovare negli stessi il ricordo e il dolore incommensurabile e traumatico della perdita prematura del proprio figlio in età pediatrica e che questo possa essere fonte di enorme sofferenza e di profondo stress psicologico”.

È stato inoltre rappresentato nella richiamata istanza che “I dati, precedentemente pseudonimizzati, saranno condivisi esclusivamente tra i partner del consorzio con lo scopo di creare una biobanca di immagini contenente immagini mediche e dati clinici. Tutti i partner del progetto hanno sede in stati membri dell'Unione Europea. Il promotore e gli sperimentatori coinvolti nello studio appartengono ad una delle seguenti strutture: università, istituti di ricerca, società scientifiche esercenti le professioni sanitarie”.

In relazione allo Studio, l’Ufficio del Garante ha avviato un approfondimento istruttorio, nel corso del quale l’Università ha da ultimo chiarito che (nota del 9 settembre 2022, prot. n. 47240, note del 10 novembre 2022 e del 19 aprile 2023):

“L’Università di Pisa ha ristretto la propria partecipazione soltanto alla fase dello studio retrospettivo su pazienti pediatrici dell’Azienda Ospedaliera Universitaria Pisana;

per lo svolgimento del progetto “PRIMAGE” finanziato nell’ambito del Programma Horizon 2020 dell’Unione Europea, l’Università di Pisa ha stipulato con la Commissione Europea il contratto n. 826494, indicato quale “Grant Agreement” e a cui è collegato un “Consortium Agreement”. La proposta di progetto è stata, quindi, preliminarmente valutata e approvata dalla Commissione europea sulla base di rigidi criteri prestabiliti dalla normativa europea: di eccellenza, impatto, qualità ed efficienza dell'attuazione.

I progetti Horizon 2020 sono, inoltre, sottoposti dalla Commissione europea a strettissimi controlli, rendicontazione e audit periodici e continui non solo economici ma anche di rispetto degli standard richiesti anche in materia di protezione dei dati personali. In particolare, il processo di revisione etico, pur riguardando principalmente le questioni etiche, è teso anche a rilevare la conformità del progetto di ricerca al Regolamento UE n. 679/2016 sulla protezione dei dati personali”.

Sulla base dell’accoro stipulato con l’Università di Pisa, l’Azienda Ospedaliera Pisana si è impegnata a collaborare con l’Università di Pisa mettendo a disposizione di quest’ultima un archivio di immagini di radiodiagnostica effettuate durante la gestione clinica di pazienti pediatrici affetti da Neuroblastoma (NB) e Glioma Pontino Intrinseco diffuso (DIPG).

Al termine del progetto le immagini e i dati clinici dei pazienti, estratti manualmente dal PACS dell’AOUP, saranno caricati sulla piattaforma QUIBIM Precision, di proprietà di Quantitative Imaging Biomarkers In Medicine S.L. (QUIBIM), dotata di certificazione CE e GDPR compliant, e quindi salvati nel cloud condiviso, accessibile ai soli membri del consorzio sulla base del progetto di ricerca europeo.

“l’Azienda Ospedaliera Universitaria pisana, ha introdotto nel progetto di ricerca l’utilizzo del software [...] [che] permette l’anonimizzazione attraverso un processo mediante il quale i dati personali vengono modificati in modo irreversibile in modo che i pazienti non possano più essere identificati direttamente o indirettamente da nessuno, nemmeno in collaborazione con altre parti, tramite la rimozione, la sostituzione, la distorsione, la generalizzazione o l'aggregazione degli identificatori diretti”

Attraverso la comparazione di due scansioni DICOM dello stesso paziente anonimizzate con il software [che si intende utilizzare], risulta che l’anonimizzazione dei metadati associati al file è completa; le scansioni presentano infatti due ID pazienti differenti e anche le generalità del paziente vengono variate dal software (es. data di nascita), preservando le caratteristiche salienti come ad esempio età, in modo da non coincidere tra due esami successivi. Non sono quindi evidenziati elementi nei metadati che consentano, anche integrando con sorgenti dati esterne, di associare l’identità alle immagini.

Le immagini, relative ad un massimo di 50 pazienti saranno, perciò, esportate in forma anonimizzata dal PACS dell’Azienda Ospedaliera Universitaria Pisana attraverso il [predetto] software e comunicate al Responsabile scientifico locale del progetto su supporto ottico (CD o DVD), senza possibilità alcuna che il gruppo di ricerca universitario possa re-identificare i pazienti.

I dati, già completamente anonimizzati nel passaggio tra l’Azienda Universitaria Pisana e l’Università di Pisa, saranno successivamente condivisi esclusivamente con gli altri partner del consorzio, aventi tutti sede in Stati membri dell’Unione Europea, con lo scopo di creare una biobanca di immagini contenente immagini mediche.

Nonostante l’anonimizzazione dei dati personali attraverso l’utilizzo della specifica funzione del software […] , con il contratto di parte terza, redatto ai sensi dell’art. 12 del Model Grant Agreement – Horizon 2020, l’Università di Pisa si è obbligata nei confronti di AOUP […] a sottoporre il progetto alla preventiva consultazione del Garante per la Protezione dei dati Personali […] “nel caso in cui i soggetti fossero defunti o l’acquisizione del consenso fosse uno sforzo sproporzionato o ritenuto pregiudizievole per il conseguimento della finalità di ricerca per motivi etico o di impossibilità organizzativa o di gravità dello stato clinico dell’interessato”.

Il Comitato Etico Azienda Ospedaliera Universitaria Meyer ha emesso parere favorevole in data 30/09/2019 e, su successiva richiesta di chiarimenti e/o integrazioni, pur declinando la propria competenza e invitando lo Sperimentatore principale del progetto a seguire le eventuali indicazioni del Garante della Privacy sull’opportunità dell’esonero del consenso, con la email che si allega, ha confermato la correttezza, sotto il profilo etico, della mancata richieste del consenso ai genitori dei bambini deceduto, al fine di evitare agli stessi eventuali stati emotivi avversi.

Sotto il profilo organizzativo si è evidenziato il lungo lasso di tempo che, con ogni probabilità, è ormai trascorso dall’ultimo contatto dei genitori del paziente con l’AOUP, con conseguente difficoltà oggettiva di reperimento da parte del Responsabile scientifico del progetto.

Peraltro, tenuto conto del numero di pazienti coinvolti nello studio (massimo 50 ma, con ogni probabilità, molti meno trattandosi di patologie tumorali poco diffuse), l’impossibilità di contattare e quindi ottenere il consenso in una percentuale anche bassa di casi potrebbe pregiudicare gravemente o addirittura invalidare i risultati della ricerca europea.

Sotto il profilo etico, si rinnovano le motivazioni sopra esposte, evidenziando come sia eticamente non esigibile pretendere che ricercatori medici, impegnati giornalmente nell’assistenza e cura, finalizzata al benessere personale dei pazienti e dei loro familiari, svolgano un’attività come quella necessaria per l’acquisizione del consenso, contattando i genitori di bambini deceduti e provocando così negli stessi una rinnovata e grave sofferenza.

Al riguardo, il Comitato etico Pediatrico (CEP) – Regione Toscana, sezione del Comitato Etico Regionale per la Sperimentazione Clinica c/o Azienda Ospedaliera Universitaria Meyer, successivamente al parere positivo reso nella riunione del 24 settembre 2019 ha ribadito che “reputa corretto sotto il profilo etico non richiedere il consenso ai genitori dei bambini deceduti, al fine di evitare agli stessi eventuali stati emotivi avversi”.

Ove ritenuto utile ai fini di una maggiore trasparenza nei confronti dei pazienti coinvolti nello studio, l’Università si rende comunque disponibile, coinvolgendo anche l’AOUP, a pubblicare sul proprio sito web e su quello dell’azienda sanitaria uno specifico documento di informazione sul trattamento dei dati personali per lo studio retrospettivo PRIMAGE, in conformità di quanto previsto dagli artt. 14, par. 5, lett. b) del Regolamento e 6, comma 3, delle regole deontologiche.

L’inserimento del progetto PRIMAGE nel programma europeo Horizon 2020 non può considerarsi, di per sé, sufficiente a individuare, quale base giuridica del trattamento, il diritto unionale in conformità all’art. 9, par. 2, lett. j) del Regolamento UE 2016/679;

la base giuridica del trattamento deve essere invece individuata, nella prospettiva e nei limiti sopra illustrati, nel consenso degli interessati ai sensi dell’art. 9, par. 2, lett. a) del Regolamento UE 2016/679 per i pazienti ancora in vita;

sussistono ragioni, particolari ed eccezionali, per le quali contattare i genitori dei pazienti, di età pediatrica e per la maggior parte deceduti, per acquisirne il consenso implica uno sforzo sproporzionato e rischia di pregiudicare il conseguimento delle finalità della ricerca sia per motivi organizzativi sia per motivi etici.

Con riferimento alla trasparenza la valutazione di impatto, facendo esplicito riferimento all’art. 14, par. 5 del Regolamento indica che “PRIMAGE has a website where the public may find more information about the PRIMAGE project”

In relazione ai tempi di conservazione la valutazione di impatto indica che “The exact retention periods for the minimized data stored in PRIMAGE repository have not been defined yet. However, if at any point it is decided that neither the PRIMAGE Platform nor the data repository will be used further for research purposes, the data repository will be destroyed.

2. La normativa applicabile

Il trattamento di dati personali deve avvenire nel rispetto del Regolamento, secondo il quale, in particole, i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” (principio di «liceità, correttezza e trasparenza»)” (art. 5, par. 1, lett. a) del Regolamento).

L’art. 9 del Regolamento sancisce un generale divieto di trattamento delle particolari categorie di dati, tra cui rientrano i dati sulla salute, a meno che non ricorra una delle specifiche esenzioni a tale divieto (art. 9, par. 2).

Più nello specifico, si evidenzia che in omaggio al principio di liceità del trattamento anche per il perseguimento di scopi di ricerca medica, i titolari devono individuare, tra quelle enucleate dal Regolamento, la base giuridica idonea e, tenendo conto che in tale contesto rilevano dati sulla salute e, se del caso, genetici, l’appropriata deroga al divieto di trattare tali informazioni (artt. 5, par. 1 lett. a), 6 e 9 del Regolamento).

In tale contesto rileva, in particolare, l’esenzione dal divieto al trattamento delle particolari categorie di dati di cui all’art. 9, par. 2, lett. a) del Regolamento, che ne ammette l’uso quando l’interessato abbia prestato il proprio consenso.

Il Regolamento introduce poi una specifica deroga al divieto di trattamento delle particolari categorie di dati per scopi di ricerca, ammettendo che essi possano essere trattati per tali scopi sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato, in conformità dell'articolo 89, paragrafo 1 del Regolamento (art. 9, par. 2, lett. j) del Regolamento).

Nel solco dello spazio normativo definito da tale ultima disposizione, il legislatore italiano ha introdotto (modificando la medesima disposizione previgente) l’art. 110 del Codice che riguarda proprio la ricerca medica, biomedica ed epidemiologica.

Esso dispone che “Il consenso dell'interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea in conformità all'articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d'impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”.

Nel caso in cui la condizione di liceità sia rappresentata dal consenso esso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano (Considerando 32, 42 e 43, artt. 5, 6, par. 1, lett. a) e 7 del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020).

Con specifico riferimento alle particolari categorie di dati, tale consenso, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, deve essere non solo esplicito ma anche manifestato per iscritto (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle citate Linee guida 5/2020 sul consenso e art. 7, comma 2, lett. b) delle Regole deontologiche (doc. web n. 9069637).

In tale ambito, il Comitato europeo per la protezione dei dati personali in relazione alle sperimentazioni cliniche ha chiarito che “il consenso informato previsto dal regolamento sulla sperimentazione clinica non va confuso con il consenso quale fondamento giuridico per il trattamento dei dati personali ai sensi del regolamento generale sulla protezione dei dati. Le disposizioni del capo V del regolamento sulla sperimentazione clinica relative al consenso informato, in particolare l'articolo 28, rispondono principalmente ai requisiti etici fondamentali dei progetti di ricerca che coinvolgono esseri umani derivanti dalla dichiarazione di Helsinki. L'obbligo di ottenere il consenso informato dei partecipanti a una sperimentazione clinica è innanzitutto una misura che garantisce la tutela del diritto alla dignità umana e il diritto all'integrità della persona di cui agli articoli 1 e 3 della Carta dei diritti fondamentali dell'Unione europea; non è concepito per rispettare gli obblighi in materia di protezione dei dati. A norma del regolamento generale sulla protezione dei dati, il consenso al trattamento deve essere prestato liberamente e deve essere specifico, informato e inequivocabile, nonché, in relazione a categorie particolari di dati come i dati sanitari, deve essere esplicito” (cfr. punti 15, 16 e 17 del Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (articolo 70, paragrafo 1, lettera b)), Adottato il 23 gennaio 2019).

In tale quadro, il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato altresì nel rispetto del Codice, delle Prescrizioni e delle Regole deontologiche che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5, del d.lgs. 10 agosto 2018, n. 101).

Il principio di limitazione della conservazione dei dati impone che essi siano “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato” (art. 5, par. 1 lett. e) del Regolamento).

Si evidenzia poi che gli ulteriori trattamenti e l’ulteriore conservazione dei dati personali per scopi di ricerca scientifica sono ammessi nei limiti del quadro normativo di riferimento (cons. 50, artt. 5, par. 1, lett. b) e e), 6, par. 4 del Regolamento, punto 5.6 delle Prescrizioni per il trattamento dei dati personali per scopi di ricerca scientifica; si vedano anche A Preliminary Opinion on data protection and scientific research, adottata il 6 gennaio 2020 dall’European data protection Supervisor, (EDPS) e il Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (articolo 70, paragrafo 1, lettera b), del 23 gennaio 2019 e il Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, del 2 febbraio 2021, adottati dall’European data protection Board (EDPB).

I dati personali, inoltre, devono essere trattati nel rispetto del principio di trasparenza (art. 5, par. 1 lett. a) del Regolamento), fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento, in caso di dati raccolti direttamente presso di essi, ovvero ai sensi dell’art. 14, in caso di dati raccolti presso soggetti terzi.

Si evidenzia inoltre che la richiamata normativa prevede che, qualora i dati siano ottenuti presso terzi, come nel caso in esame, il titolare del trattamento possa non rendere le informazioni di cui ai par. da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui comunicare tali informazioni risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento).

Sul punto, le Regole deontologiche prevedono che, qualora il titolare raccolga i dati personali presso terzi e fornire l’informativa all’interessato comporti uno sforzo sproporzionato rispetto al diritto tutelato, esso debba adottare idonee forme di pubblicità, indicando a titolo esemplificativo talune specifiche modalità (art. 6, comma 3).

La disciplina in materia di protezione dei dati personali non trova invece applicazione in relazione ai dati anonimi. A tale riguardo, giova precisare che si considerano anonime le “(...) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato”, ciò anche per i trattamenti svolti per finalità statistiche o di ricerca (cfr. considerando n. 26 del Regolamento). Il rischio di reidentificazione dell’interessato va, tuttavia, accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici” (cfr. considerando n. 26 del Regolamento e WP29 Opinion 05/2014 “Anonymisation techniques”, adottato il 10 aprile 2014).

3. Le valutazioni dell’Autorità

3.1. Liceità e correttezza dei trattamenti del trattamento dei dati

L’Università ha presentato l’istanza di consultazione preventiva (ai sensi degli artt. 110 del Codice e 36 del Regolamento) al fine di poter svolgere il trattamento di dati sulla salute riferiti a pazienti deceduti in età puerile, per la realizzazione dello Studio Primage, senza acquisire il consenso al trattamento degli stessi da parte dei genitori o degli esercenti la potestà legale a causa degli impedimenti etici e organizzativi rappresentati in premessa.

Sul punto il Garante ritiene che l’impossibilità correlata ad impedimenti di tipo organizzativo, possa nel caso di specie e in concreto considerarsi pertinente visto che il periodo di osservazione retrospettiva risulta alquanto risalente nel tempo, che la gran parte dei pazienti da arruolare, vista la gravosità della malattia oggetto di osservazione sono deceduti e che qualora anche i dati dei pazienti deceduti o non contattabili non vi fossero inclusi si determinerebbe un pregiudizio alla completezza del campione (e quindi alla accuratezza dei dati), vista l’esiguità dello stesso campione(50 pazienti). Ciò rischierebbe pertanto di pregiudicare gravemente il conseguimento delle finalità dello Studio.

Da un punto di vista procedurale e in un’ottica di accountability si rileva tuttavia come nel caso di specie l’Università, pur avendo ben rappresentato come il mancato arruolamento possa compromettere l’integrità e completezza del campione, non abbia comprovato quali siano i ragionevoli sforzi compiuti o che si intende compiere all’esito dei quali attestare l’effettiva irreperibilità degli interessati (anche attraverso [...], la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente, cfr. punto 5.3, n. 2 delle Prescrizioni).

L’Autorità ritiene, pertanto, necessario che l’Università integri la Vip con l’indicazione degli sforzi compiuti o che intende compiere all’esito dei quali attestare l’effettiva irreperibilità degli interessati.

L’Autorità ritiene, inoltre, che l’Università abbia correttamente individuato il presupposto giuridico per la raccolta e il trattamento dei dati che essa è tenuta a svolgere per la fase di raccolta retrospettiva dei dati necessari per la realizzazione dello Studio.

Sotto altro profilo, il Garante rileva come, al pari di quanto indicato nella relativa valutazione di impatto, il presupposto giuridico per i trattamenti di dati personali raccolti nello DB Primage per le finalità ivi indicate, da parte dei membri dell’omonimo Consorzio, si fondi su una disposizione del diritto dell'Unione europea che risulta proporzionata alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato, in conformità all'articolo 9, paragrafo 2, lettera j) del Regolamento (cfr. Regolamento (EU) N. 1291/2013 del Parlamento e del Consiglio dell’11 Dicembre 2013 establishing Horizon 2020 - the Framework Programme for Research and Innovation (2014-2020) and repealing Decision No 1982/2006/EC). Ciò anche tenuto conto delle robuste tecniche di pseudonimizzazione/anonimiozzazione ivi previste ai sensi dell’art. 89 del Regolamento.

3.2. Le misure volte a garantire l’effettività del principio di trasparenza nei confronti dei pazienti arruolati allo Studio

In relazione alle modalità con le quali l’Università intende assicurare effettiva applicazione al principio di trasparenza e gli adempimenti ad esso correlati in relazione ai trattamenti di dati personali necessari per la realizzazione dello Studio (artt. 5, par. 1 lett. a) e 14 del Regolamento; art. 6, comma 3 delle Regole deontologiche), in via preliminare si prende favorevolmente atto, del fatto che “l’Università si rende comunque disponibile, coinvolgendo anche l’AOUP, a pubblicare sul proprio sito web e su quello dell’azienda sanitaria uno specifico documento di informazione sul trattamento dei dati personali per lo studio retrospettivo PRIMAGE”.

Al riguardo, ribadendo la cogenza degli obblighi di trasparenza già sopra richiamati (artt. 5, par. 1 lett. a) e 14 del Regolamento; art. 6, comma 3 delle Regole Deontologiche), congiuntamente all’obbligo del titolare del trattamento di dare effettiva attuazione, in modo proattivo e costante ai principi in materia di protezione dei dati personali e di essere in grado di comprovarlo (principio di accountability, art. 5, par. 2 del Regolamento), si ritiene necessario che il titolare prima dell’inizio dei trattamenti pubblichi sul proprio sito internet e su quello dell’Azienda sanitaria pisana, in pagine facilmente accessibili, le informazioni sul trattamento dei dati personali redatte con un linguaggio semplice e chiaro, assicurando che le stesse restino disponibili per tutta la durata dei trattamenti (artt. (artt. 5, par. 1 lett. a), 12 e 14 del Regolamento; art. 6, comma 3 delle Regole Deontologiche).

3.3 Tempi di conservazione dei dati

Il protocollo dello studio fornisce indicazioni del tutto generiche sui tempi di conservazione dei dati, indicando, come sopra riportato che “The exact retention periods for the minimized data stored in PRIMAGE repository have not been defined yet. However, if at any point it is decided that neither the PRIMAGE Platform nor the data repository will be used further for research purposes, the data repository will be destroyed”.

A tale riguardo, atteso che il presente provvedimento riguarda esclusivamente la fase di raccolta dei dati retrospettivi necessari per la realizzazione dello Studio clinico in oggetto, inserito nel programma europeo Horizon 2020, da parte dell’Università , in base ai principi di liceità correttezza e trasparenza, limitazione della conservazione, accountability, , si ritiene comunque necessario che venga indicato nelle informative agli interessati il periodo di conservazione dei dati raccolti per la realizzazione dello Studio o il criterio utilizzato per determinare tale periodo. Ciò anche qualora tale periodo dovesse corrispondere esclusivamente all’arco temporale intercorrente tra la raccolta del dato e la loro anonimizzazione/pseudonimizzazione prevista per l’invio degli stessi al DB Primage (art. 13, par. 2, lett. a) del Regolamento).

3.4. Ulteriori misure

Dalla valutazione di impatto acquisita agli atti emerge che sono state predisposte misure tecniche e organizzative appropriate e idonee per tutelare i diritti e le libertà della coorte degli interessati coinvolti (artt. 32 e 35 del Regolamento).

Deve notarsi infatti che l’implementazione delle misure di cui all’art. 89 del Regolamento, volte, in particolare, all’effettiva applicazione del principio di minimizzazione, attraverso la pseudonimizzazione e, laddove possibile l’anonimizzazione dei dati, non esime il titolare del trattamento dall’introdurre altresì idonee misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento, per un’effettiva applicazione del principio di integrità e riservatezza dei dati (art. 5, par. 1, lett. f) del Regolamento).

Nella valutazione d’impatto è stata inoltre condotta un’analisi esauriente dei rischi connessi ai trattamenti di dati personali necessari al perseguimento dello scopo della ricerca in esame, al fine di determinare in particolare l’origine, la natura, la gravità di tali rischi e le misure implementate per mitigarli.

Si ritiene inoltre che la struttura organizzativa implementata per la realizzazione dello Studio sia tale da escludere che soggetti terzi non autorizzati possano essere coinvolti nelle operazioni di trattamento dei dati sulla salute dai pazienti arruolati nel richiamato Studio e che essa sia conforme alle disposizioni del Regolamento oltre che al principio di correttezza e trasparenza (art. 5, par. 1 lett. a), par. 2, 24, 28 del Regolamento).

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime all’ Università di Pisa, con sede legale in Lungarno Pacinotti 43, 56126 Pisa C.F. 80003670504, parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti alla coorte di pazienti, deceduti, arruolati nello studio dello studio clinico “PRedictive In-silico Multiscale Analytics to support cancer personalized diaGnosis and prognosis, Empowered by imaging biomarkers (PRIMAGE)” a condizione che:

a) integri la Vip con l’indicazione degli sforzi compiuti o che intende compiere all’esito dei quali attestare l’effettiva irreperibilità degli interessati (cfr. punto 3.1.);

b) prima dell’inizio dei trattamenti pubblichi sul proprio sito internet e su quello dell’Azienda sanitaria pisana in pagine facilmente accessibili, le informazioni sul trattamento dei dati personali redatte con un linguaggio semplice e chiaro, assicurando che le stesse restino disponibili per tutta la durata del trattamento (cfr. punto 3.2);

c) venga indicato nelle informative il periodo di conservazione dei dati raccolti per la realizzazione dello Studio o il criterio utilizzato per determinare tale periodo (art. 13, par. 2, lett. a) del Regolamento). (cfr. punto 3.3).

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 settembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei